GeneralBots/botbook
2
2
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
botbook/docs/index.md
Rodrigo Rodriguez (Pragmatismo) bc127816df
Some checks failed
GBCI / build (push) Failing after 1m16s
Details
fix: update titles and labels for consistency; adjust deployment paths in workflow
2025-05-11 20:12:38 -03:00

190 lines
No EOL
10 KiB
Markdown
Raw Permalink Blame History

---
slug: / # Makes this the homepage
title: Compliance
sidebar_label: Home
sidebar_position: 1
---
# 1. Introdução ao Framework de Compliance
Seja bem-vinda(o) ao Framework de Compliance da Pragmatismo. Este documento representa nosso compromisso com a excelência operacional e conformidade regulatória no desenvolvimento e operação do General Bots e todos os nossos sistemas de tecnologia. Este framework foi desenvolvido para garantir que todas as operações da empresa estejam em conformidade com as normas ISO 27001, HIPAA e LGPD, assegurando a proteção de dados, a privacidade e a segurança da informação.
Caso identifique um padrão positivo em nossas atividades que possa ser generalizado ou tenha sugestões para aprimorar nosso framework de compliance, envie um e-mail para metodologia@Pragmatismo para avaliação. Opte sempre por descentralizar o conhecimento, editando estes artigos e compartilhando os métodos de trabalho mais seguros, eficazes e em conformidade com os padrões regulatórios.
* [1. Introdução](index.md)
* [2. Comunicação](chapter-02-Communication.md)
* [3. ALM](chapter-03-ALM.md)
* [4. Automação](chapter-04-Automation.md)
* [5. Ciência de Dados & IoT](chapter-05-Data%20Science%20%26%20IoT.md)
* [6. Ferramentas](chapter-06-Tools.md)
* [7. Artes, Design e Produção de Mídia](chapter-07-Arts%2C%20Design%20and%20Media%20Production.md)
* [8. Políticas de Segurança da Informação](chapter-08-Information%20Security%20Policies.md)
* [9. Gestão de Riscos](chapter-09-Risk%20Management.md)
* [10. Gestão de Conformidade](chapter-10-Compliance%20Management.md)
* [11. Gestão de Incidentes](chapter-11-Incident%20Management.md)
* [12. Continuidade de Negócios](business-continuity-managment)
* [Direitos Autorais](copyright.md)
* [Glossário](glossary.md)
## 1.1 Objetivo do Framework
Este framework tem como objetivo:
1. **Estabelecer Conformidade**: Garantir que todas as operações da Pragmatismo estejam em conformidade com ISO 27001, HIPAA e LGPD;
2. **Proteger Dados**: Implementar controles técnicos e administrativos para proteger dados sensíveis;
3. **Gerenciar Riscos**: Identificar, avaliar e mitigar riscos de segurança da informação;
4. **Criar Cultura de Segurança**: Promover uma cultura organizacional que valorize a segurança da informação;
5. **Garantir Continuidade de Negócios**: Implementar procedimentos para garantir a resiliência operacional.
## 1.2 Escopo de Aplicação
Este framework se aplica a:
1. Todos os colaboradores da Pragmatismo;
2. Sistemas e plataformas de desenvolvimento do General Bots;
3. Processos de desenvolvimento de software;
4. Infraestrutura de TI e operações;
5. Gestão de dados e informações dos clientes;
6. Relacionamento com fornecedores e parceiros.
## 1.4 Normas Gerais de Compliance
1. Todas as atividades da companhia devem ocorrer de acordo com a NR 17: http://www.trt02.gov.br/geral/tribunal2/LEGIS/CLT/NRs/NR_17.html;
2. Todas as operações devem estar em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), ISO 27001 e HIPAA (quando aplicável);
3. Os colaboradores devem participar de treinamentos regulares sobre segurança da informação e proteção de dados;
4. A empresa deve manter um Inventário de Ativos de Informação atualizado;
5. Revisões periódicas das políticas de segurança e conformidade devem ser realizadas pelo menos anualmente;
6. Cada participante do projeto deve contribuir durante a construção do projeto com um artigo em sua área para a companhia;
7. Salvo restrições contratuais informadas em cada caso, de modo simultâneo e coordenado, as novas tecnologias, comportamentos, padronizações, metodologias e outros novos artefatos para projetos em desenvolvimento resultam contribuições para projetos modelo da companhia;
8. Construir artefatos de código apenas com requisitos e macro-tarefas associadas;
9. Sempre verificar com a gerência do projeto e produto a viabilidade de introduzir ou refatorar código com BDD, TDD e/ou código-fonte literal;
10. Certifique-se de que termos, contratos e certificações estão em dia de acordo as instruções individuais de cada documento.
## 1.5 Matriz de Conformidade
A seguir, apresentamos nossa matriz de conformidade com os principais requisitos das normas ISO 27001, HIPAA e LGPD:
| Requisito | Padrão | Status | Implementação |
|-----------|--------|--------|---------------|
| **Segurança de Rede** | | | |
| TLS 1.3 Configuration | ISO 27001, HIPAA, LGPD | ✅ | Configure modern SSL parameters and ciphers in /etc/nginx/conf.d/ssl.conf |
| Access Logging | ISO 27001, HIPAA, LGPD | ✅ | Enable detailed access logs with privacy fields in /etc/nginx/nginx.conf |
| Rate Limiting | ISO 27001 | ⬜ | Implement rate limiting rules in location blocks |
| WAF Rules | HIPAA | ⬜ | Install and configure ModSecurity with OWASP rules |
| Reverse Proxy Security | ISO 27001, HIPAA, LGPD | ✅ | Configure security headers (X-Frame-Options, HSTS, CSP) |
| **Gestão de Identidade** | | | |
| MFA Implementation | ISO 27001, HIPAA, LGPD | ✅ | Enable and enforce MFA for all administrative accounts |
| RBAC Configuration | ISO 27001, HIPAA, LGPD | ✅ | Set up role-based access control with least privilege |
| Password Policy | ISO 27001, HIPAA, LGPD | ✅ | Configure strong password requirements (length, complexity, history) |
| OAuth2/OIDC Setup | ISO 27001 | ✅ | Configure secure OAuth flows and token policies |
| Audit Logging | ISO 27001, HIPAA, LGPD | ✅ | Enable comprehensive audit logging for user activities |
| **Armazenamento e Dados** | | | |
| Encryption at Rest | ISO 27001, HIPAA, LGPD | ✅ | Configure encrypted storage with key management |
| Bucket Policies | ISO 27001, HIPAA, LGPD | ✅ | Implement strict bucket access policies |
| Object Versioning | HIPAA | ✅ | Enable versioning for data recovery capability |
| Access Logging | ISO 27001, HIPAA, LGPD | ✅ | Enable detailed access logging for object operations |
| Lifecycle Rules | LGPD | ⬜ | Configure data retention and deletion policies |
| **Comunicação** | | | |
| DKIM/SPF/DMARC | ISO 27001, HIPAA, LGPD | ✅ | Configure email authentication mechanisms |
| Mail Encryption | ISO 27001, HIPAA, LGPD | ✅ | Enable TLS for mail transport |
| Content Filtering | ISO 27001, HIPAA, LGPD | ✅ | Implement content scanning and filtering rules |
| Mail Archiving | HIPAA | ⬜ | Configure compliant email archiving |
| Sieve Filtering | ISO 27001, HIPAA, LGPD | ✅ | Implement security-focused mail filtering rules |
| **Sistemas Operacionais** | | | |
| System Hardening | ISO 27001, HIPAA, LGPD | ⬜ | Apply CIS Ubuntu Linux benchmarks |
| System Updates | ISO 27001, HIPAA, LGPD | ✅ | Configure unattended-upgrades for security patches |
| Audit Daemon | ISO 27001, HIPAA, LGPD | ⬜ | Configure auditd for system event logging |
| Firewall Rules | ISO 27001, HIPAA, LGPD | ✅ | Configure UFW with restrictive rules |
| Disk Encryption | ISO 27001, HIPAA, LGPD | ⬜ | Implement LUKS encryption for system disks |
| SELinux/AppArmor | ISO 27001, HIPAA, LGPD | ⬜ | Enable and configure mandatory access control |
| **Monitoramento e Logs** | | | |
| Monitoring Setup | ISO 27001, HIPAA, LGPD | ✅ | Install and configure Prometheus + Grafana |
| Log Aggregation | ISO 27001, HIPAA, LGPD | ✅ | Implement centralized logging (e.g., ELK Stack) |
| **Backup e Recuperação** | | | |
| Backup System | ISO 27001, HIPAA, LGPD | ⬜ | Configure automated backup system with encryption |
| Network Isolation | ISO 27001, HIPAA, LGPD | ✅ | Implement proper network segmentation |
| **Gestão de Dados** | | | |
| Data Classification | HIPAA/LGPD | ✅ | Document data types and handling procedures |
| Session Management | ISO 27001, HIPAA, LGPD | ✅ | Configure secure session timeouts and invalidation |
| **Gestão de Certificados** | | | |
| Certificate Management | ISO 27001, HIPAA, LGPD | ✅ | Implement automated certificate renewal with Let's Encrypt |
| **Segurança Ofensiva** | | | |
| Vulnerability Scanning | ISO 27001 | ✅ | Regular automated scanning with tools like OpenVAS |
| **Resposta a Incidentes** | | | |
| Incident Response Plan | ISO 27001, HIPAA, LGPD | ✅ | Document and test incident response procedures |
| Disaster Recovery | HIPAA | ✅ | Implement and test disaster recovery procedures |
## 1.6 Documentação Obrigatória
### 1.6.1 Políticas de Segurança
- Política de Segurança da Informação
- Política de Controle de Acesso
- Política de Senhas
- Política de Proteção de Dados
- Plano de Resposta a Incidentes
### 1.6.2 Procedimentos
- Procedimentos de Backup e Recuperação
- Procedimentos de Gestão de Mudanças
- Procedimentos de Revisão de Acessos
- Procedimentos de Incidentes de Segurança
- Procedimentos de Resposta a Violações de Dados
### 1.6.3 Documentação Técnica
- Diagramas de Arquitetura de Rede
- Documentação de Configuração de Sistemas
- Documentação de Controles de Segurança
- Documentação de Padrões de Criptografia
- Documentação de Logging e Monitoramento
### 1.6.4 Registros de Conformidade
- Relatórios de Avaliação de Riscos
- Logs de Auditoria
- Registros de Treinamento
- Relatórios de Incidentes
- Registros de Revisão de Acesso
## 1.7 Tarefas Regulares de Manutenção
- Atualizações semanais de segurança
- Revisões mensais de acesso
- Auditorias trimestrais de conformidade
- Testes anuais de penetração
- Testes semestrais de recuperação de desastres
## 1.8 Segurança de Acesso
1. Mantenha sua senha em um local seguro, preferencialmente memorizando-a.
2. Altere sua senha imediatamente ao recebê-la.
3. Utilize autenticação de múltiplos fatores (MFA) sempre que disponível.
4. Nunca compartilhe suas credenciais com outras pessoas.
5. Bloqueie seu computador ao se ausentar de sua estação de trabalho.
6. Revise regularmente suas permissões de acesso e solicite apenas os privilégios necessários.
## 1.9 Referências
1. ISO 27001 - Sistema de Gestão da Segurança da Informação
2. HIPAA (Health Insurance Portability and Accountability Act)
3. LGPD (Lei Geral de Proteção de Dados - Lei nº 13.709/2018)
4. CIS Benchmarks (Center for Internet Security)
5. OWASP (Open Web Application Security Project)
6. NIST (National Institute of Standards and Technology)
7. http://msdn.microsoft.com
8. https://aws.amazon.com/documentation/
9. http://wikipedia.org
10. https://portal.fiocruz.br/
11. http://www.trt02.gov.br
---
*Última atualização: 11 de maio de 2025*
Reference in a new issue View git blame Copy permalink